安全Web登录过程设计

最新推荐文章于 2024-07-05 00:19:01 发布
最新推荐文章于 2024-07-05 00:19:01 发布
阅读量2.6k 收藏 2
点赞数
文章标签: web session login 服务器 string 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/happybirds/article/details/2449961
版权

 

风险
用户帐号被盗用、用户权限被提升。
原则
严格控制用户认证过程和认证信息,用户身份不被假冒。
控制点
 2 .1是否所有受保护的文件、目录、功能模块都要求身份验证及权限验证。
 2.2  用户登录窗体安全性设计要求。
 2.2 .1关闭浏览器自动填充功能。
 2.2 .2防止用户口令被侦听,登录口令采用加密方式向服务器传送,如:采用口令和随机ID计算MD5后向服务器传送的方式。
 2.2 .3获取用户登录或操作IP采用Request.UserHostAddress,而不能采用Request[“IP”]。
 2.2 .4用户IP信息应同时包含用户代理IP的情况。
(表2 - 1 )登录窗体及登录过程
A、服务器产生Key
 if (Session[ " PassKey " ] == null || Session[ " PassKey " ].ToString() == "" )
             {
                Session["PassKey"]=System.Guid.NewGuid().ToString();
            }
B、    用户端计算
 < form name = " form1 "  method = " post "  action = " /login/login.aspx "   onSubmit = " javascript: Login_Password.value 
=  hex_md5(hex_md5(Login_Password)  + PassKey.value); " >
< input type = ”TextBox”  name = ”Login_User_ID”  autocomplete = " off " />
< input type = ”Password”  name = ”Login_Password” autocomplete = " off " />

< input type = ”hidden” name = ” PassKey”  value = ” e59c08a8 - 6de4 - 4a2b - bb2f - 356c31f67a0a” />  
C、    服务器端登录
 if (Session[ " PassKey " ] == null || Session[ " PassKey " ].ToString() == System.String.Empty)
             {
                //转用户的会活没有开始.
                
            }
             string  cUserID = MyHome.Security.XSS.RemoveXSS( " UserID " );
             if (cUserID == System.String.Empty)
             {
                //转用户没有输入用户ID
            }

             string  cPassword = MyHome.Security.XSS.UserInputString( " Password " );

             if (cPassword == System.String.Empty)
             {
                //转用户没有输入用户Password
            }
            UserData oUserData = new  UserData();
             if ( ! SearchUserByID(cUserID,oUserData))
             {
                //转没有找到该用户
            }
             if (MyHome.Security.Md5(MyHome.Security.Md5(cPassword,PASSWORDMD5KEY),Session[ " PassKey " ].ToString()) == MyHome.Security.Md5(oUserData.Password,Session[ " PassKey " ].ToString()))
             {
                //其他与登录相关的业务规则2
                //成功,转成功操作
            }
             else
             {
                //失败,转失败操作
            }
2.2 .6根据应用程序安全需求实施暴力攻击防范及强密码方案。
 2.2 . 6 .1建议不采用锁定帐号或锁定IP的方案进行防暴力攻击方案。
 2.2 . 6 .2可以采取连继登录失败5次后,用户必须输入验证码的方式来解决。
 2.2 .7使用表单验证时,必须保证服务器上每个asp.net应用程序都具有一个独特的密钥。
Machine.Config
     < machineKey validationKey = " AutoGenerate,IsolateApps "  
decryptionKey = " AutoGenerate,IsolateApps "  validation = " SHA1 " />
    
 2.3 .登录会话保护
 2.3 .1用户退出系统或关闭浏览器时,系统清除对应会话。
 2.3 .2安全性级别高的Web程序必须做会话劫持防范,在会话中检验用户浏览器的Agent头信息及客户端IP地址。
 2.3 .3采用多种方式保护会话Cookie不被盗用,如:对Cookie增加HttpOnly支持,运行在SSL通道上的Web项目,明确Cookie只能在SSL上传递。
 2.3 .4重要操作前,采用二次密码进行用户确认.如:用户修改已确认订单的收货地址。
表( 2 - 3 - 1 )
保存客户变量,以确定绑定到相同的客户:
     private   void  BindingToClient()
         {
            string[] userIpArray=Request.UserHostAddress.Split('.');
            string firtTwoOctets=userIpArray[0]+"."+userIpArray[1];
            if(Session["firtTwoOctets"]==null&&Session["UserAgent"]==null)
            {

                Session["firtTwoOctets"]=firtTwoOctets;
                Session["UserAgent"]=Request.UserAgent;
            }
            else
            {
                if((string)Session["UserAgent"]!=Request.UserAgent||(string)Session["firtTwoOctets"]!=firtTwoOctets)
                {
                    Session.Abandon();
                    //转登录网页
                }
            }
        }
happybirds
关注
网页安全登陆的设计思路
炀炀的专栏
06-02 845
对于Web网站来讲,不管是企业内容信息化系统,还是公共站点(博客、音视频站等),都有需要用户注册和登录的功能。用以识别用户、信息交互、信息隔离以及商业行为等场景。用户数据已成为网站的重要资产。保护用户信息(数据)是网站安全运行的关键任务。本文仅以用户登录的场景介绍一下开发设计思路。
Web登陆页面和三行两列轮播图
12-21
Web开发领域,登录页面和轮播图是两个常见的元素,它们对于提升用户体验和展示信息具有...这不仅涉及到技术实现,还包括了用户体验设计安全性考量。通过不断学习和实践,开发者可以构建出既美观又实用的Web应用。
eLogin_登录_登录网页_密码检索_web登录_信息安全_
10-02
安全密码登录,用于web网页登录,杜绝信息泄露
Web登录很简单?开玩笑!
最新发布
2401_85158769的博客
07-05 251
标准的HTML语法中,支持在form表单中使用标签来创建一个HTTP提交的属性,现代的WEB登录中,常见的是下面这样的表单:用户名:密码:登陆form表单会在提交请求时,会获取form中input标签存在name的属性,作为HTTP请求的body中的参数传递给后台,进行登录校验。例如我的账号是user1,密码是123456,那么我在提交登录的时候会给后台发送的HTTP请求如下(Chrome或者FireFox开发者工具捕获,需开启Preserve log):可以发现即便password字段是黑点,但是本机仍以
安全登录系统的设计与实现方案
hwalk的专栏
05-12 1454
对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 SSL 来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL 的 Web 服务器上实现安全登录。要实现安全登录,可以采用下面三种方法,一种基于非
关于Web登陆安全
weixin_30322405的博客
08-26 91
今天看到有人写的关于WEB登录验证的内容。 其中谈到安全这一环节,说实话,关于安全,还真的很头痛。 记得很早以前有人使用Cookie保存验证结果。但是Cookie保存在客户端,很容易被获取到,而且也很容易被修改,所以当时Cookie欺骗是很普遍的现象。现在Cookie并不会储存安全性很高的数据,并且数据都会经过加密。 再之后人用Session保存,但是服务器是如何知道客户端使用的是哪个Ses...
Web 安全登录
05-15 2679
基本解决方案绝大多数Web应用里面都有用户登录的功能。由于HTTP(S)协议的特点,服务器没有办法锁定客户端,因为客户端对服务器发送HTTP(S)请求的时候,往往没有携带自身的信息,于是服务器想确认客户端的身份是有心无力的。于是出现了在HTTP(S)报头中附带Cookie的一种做法,来帮助服务器识别客户端:Created with Raphaël 2.1.0客户端客户端服务器服务器没有携带Cooki
web安全登陆
jslfl的专栏
06-20 96
首先在客户端向服务器端请求登录页面时,服务器端生成一个随机字符串,连同登录页面一同发送给客户端浏览器,当用户输入完用户名密码后,将密码采用 MD5 或者 SHA1 来生成散列值作为密钥,服务器端发送来的随机字符串作为消息数据,进行 hmac 运算。然后将结果提交给服务器。之所以要对用户输入的密码进行散列后再作为密钥,而不是直接作为密钥,是为了保证密钥足够长,而又不会太长。服务器端接受到客户端提交的...
jsp.rar_web界面设计_登陆界面的jsp
09-21
【描述】描述中提到的“使用JavaScript编写的web登陆界面的jsp”,意味着该实例结合了JavaScript和JSP的技术。JavaScript是一种广泛用于前端开发的脚本语言,主要负责处理用户交互、验证表单数据等任务,而JSP则是...
jsj_6_3.rar_Java web登陆_web java 学生_简单 系统
09-21
总的来说,这个“基于JAVA WEB的简单的登陆注册学生管理系统”涵盖了Java Web开发的基础知识,包括前后端交互、数据库操作、用户认证以及MVC架构等,对于学习和理解Web开发流程有着重要作用。通过实际操作这个项目,...
各种漂亮的web登陆界面.zip
02-22
"各种漂亮的web登陆界面.zip"这个压缩包文件集成了多种设计精美的登录页面,供开发者和设计师们下载参考。这些登录界面的设计理念、元素选择、色彩搭配以及布局结构都体现了当前网页设计的流行趋势和最佳实践。 ...
微信公众号开发中的用户账号绑定 设计思路
11-19
最近由于工作需要,接触了微信公众号的开发。业务上要求绑定微信用户和系统用户,以便用户在一次绑定后能够通过系统用户的身份去使用一些功能。 在网上搜索了一下,发现这个问题没什么好的答案,很多都说取不到微信用户名实现不了,甚至有说实现了这个功能的应该是与微信有内部合作的。 搜索无果,遂自己动手实验,后发现其实完全可以的
WEB网站设计用户登录安全机制
iechenyb专栏
10-16 9651
用户登录模块设计安全考虑
Web登录安全详解
Frequent的博客
10-17 798
不加密直接传输 会在HTTP报文的body中显示密码明文 对称加密 加密算法写在前端里,前端有被破解的风险 非对称加密 中间人攻击 SSL劫持攻击 将自己接入到客户端和服务器中间,将公钥替换成自己的公钥。 SSL剥离攻击 也要将自己设为中间人,与客户端HTTP明文会话,与服务器继续HTTPS会话 重放攻击 密码加密后,直接用密文请求,或者将报文改动一小部分再次请求。 HTTPS防止重放攻击 TLS是可以防止重放攻击的,具体是通过报文鉴别码MAC(Message A...
web低成本的安全登录方案
LionLone的博客
01-04 2876
背景 最近在开发restful风格的数据仓库,使用的是阿里云的函数计算,技术栈是:Vue+Flask(部分用Go),后端API采用restul风格。 由于数据比较敏感,安全系数肯定要比较高才行,但由于我是个人开发,限于成本,只能尽可能的优化代码逻辑,平衡存储和计算成本。 遇到的问题与自己的解决方案 权限管理这个地方,遇到的问题 是否开放账号密码注册的方式? 我参考了国内多数app/web应用,发现相当一部分仅开放了手机号验证注册/登录,或者开放第三方如微信/支付宝之类的,但是最后还是要绑定手机,于是我想了
网上银行等的WEB登陆安全性简要分析
厚积薄发
01-01 571
转载自:http://security.zdnet.com.cn/security_zone/2008/1205/1267748.shtml 前言:本文还是去年年初写的,当时出于安全考虑没放出来。现在部分网上银行已大幅度降低了无高级别安全措施情况下的转账限额,并建议用户使用动态口令卡或者USB Key,总体安全系数有所提高。     随着子商务的普及,网上银行以及在线电...
Web登录如何确保安全
lmj3732018的博客
02-25 4848
我们在下载文件的时候经常会看到有的下载站点也提供下载文件的“数字摘要“,供下载者验证下载后的文件是否完整,或者说是否和服务器上的文件”一模一样“。其实,数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文,这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的内容信息其摘要必定一致。因此,“数字摘要“叫”数字指纹“可能会更贴切一些。“数字摘要“是HTTPS能确保数据完整性和防篡改的根本原因。
WEB的用户安全登录功能
漫游学海之旅
02-17 1851
转自:http://coolshell.cn/articles/5353.html 你会做Web上的用户登录功能吗? Web上的用户登录功能应该是最基本的功能了,可是在我看过一些站点的用户登录功能后,我觉得很有必要写一篇文章教大家怎么来做用户登录功能。下面 的文章告诉大家这个功能可能并没有你所想像的那么简单,这是一个关系到用户安全的功能,希望大家能从下面的文章中能知道什么样的方
web安全
xybz1993的博客
08-25 365
CSRF攻击。 跨站请求伪造:简单理解,攻击者盗用了他人身份,发送恶意请求。 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤: 1.登录受信任网站A,并在本地生成Cookie。 2.在不登出A的情况下,访问危险网站B。(B网站可以返回一个立即请求A网站的连接a,本来A网站需要用户登录才能响应链接a的请求,但由于用户之前登录过网站A,所以再次访问会带上上次登录的coo...
java web登陆注册
09-23
Java Web登录注册的实现过程中,通常会涉及到前端页面的设计和后端代码的编写。前端页面可以使用HTML、CSS和JavaScript等技术实现,后端代码则可以使用Java的Servlet或框架如SpringMVC来处理用户的请求和响应。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值